Une faille de sécurité vient d’être découverte sous Android. Elle concerne les applications suivantes : Bitcoin Wallet, blockchain.info wallet, BitcoinSpinner et Mycelium Wallet (liste non exhaustive). Ces portefeuilles sont actuellement vulnérables. En attendant les mises à jour, il est conseillé aux utilisateurs d’envoyer leurs bitcoins vers un portefeuille qui ne fonctionne pas sous Android [*].
La faille se situe dans la capacité d’Android à générer des liens sécurisés entre des chiffres aléatoires. Les services de change comme Mt Gox, bitcoin.de ou Coinbase ne sont pas concernés par cette faille puisque leurs clés privées ne sont pas générées depuis un dispositif Android.
Les développeurs de Google ont confirmé une vulnérabilité cryptographique présente dans l’architecture cryptographique de Java (JCA) sous Android permettant de générer des instabilités critiques d’un point de vue sécuritaire au niveau d’applications utilisées habituellement par un large panel d’utilisateurs afin d’effectuer des transactions par l’intermédiaire du système Bitcoin. D’autres types d’applications pourraient également être concernées tant que les développeurs ne modifieront pas la façon d’accéder aux « PRNGs » (Pseudo Random Number Generators). Sont donc concernées, les applications utilisant Java Cryptography Architecture pour de la génération de clés, de la signature numérique ou de la génération pseudo-aléatoire de nombres puisque les résultats retournées ne devraient pas être caractérisées par des valeurs fortes en termes de cryptographie, et ce de par le fait d’une initialisation impropre du PRNG sous-jacent privilégié. Les applications appelant directement le PRNG d’OpenSSL, fourni par le système, sans une initialisation explicite seront quant à elles autant concernées par l’exploitation de cette vulnérabilité plus que critique sur les systèmes d’exploitation Android. Celles utilisant les classes HttpClient & java.net ne seront elles pas vulnérables à l’exploitation de cette vulnérabilité. Actuellement, cela serait pas moins de 360 000 applications qui utiliseraient le service SecureRandom de JCA et vu que, contrairement aux premières informations fournies, c’est bien l’ensemble des versions du système d’exploitation Android qui sont concernées, il faudra donc s’attendre à un déferlement de mises à jour dans les semaines à venir, certaines applications ayant déjà été corrigées.
Des mises à jour sont en préparation pour les applications suivantes :
– Bitcoin Wallet (en savoir plus sur la mise à jour)
– Mycelium Wallet : La mise à jour 0.6.5 peut être téléchargée depuis Google Play ou mycelium.com
Plus d’informations : http://bitcoin.org/en/alert/2013-08-11-android
[*] par exemple un service de change comme bitcoin.de
ACHETER ET VENDRE DES BITCOINS |